Una investigación(Se abre en una nueva ventana) por la Comisión de Bolsa y Valores de EE. UU. (SEC) descubrió que Morgan Stanley Smith Barney, ahora conocido como Morgan Stanley Wealth Management, puso en riesgo la información personal de 15 millones de clientes debido a la forma en que manejó servidores y discos duros antiguos.
A partir de 2015, y durante un período de cinco años, Morgan Stanley contrató varias veces a una empresa de mudanzas y almacenamiento para que se encargara del desmantelamiento de servidores y discos duros antiguos. Había dos problemas con esta decisión. La primera es que la empresa seleccionada para manejar las unidades «no tenía experiencia ni pericia en servicios de destrucción de datos», según la SEC. El segundo problema fue que Morgan Stanley no encriptó los datos almacenados en estas unidades y no intentó eliminar ninguno antes de entregárselos a la empresa de mudanzas.
Este escenario llevó a que los datos personales de millones de clientes de Morgan Stanley estuvieran disponibles en miles de discos duros antiguos sin ningún tipo de protección. La SEC descubrió que, en lugar de eliminar permanentemente los datos almacenados en las unidades, la empresa de mudanzas simplemente los vendió a un tercero, que a su vez vendió algunos de ellos en sitios de subastas en Internet con los datos aún intactos. La gran mayoría de estos discos duros nunca se han recuperado.
En total, la investigación de la SEC descubrió registros que mostraban que «faltaban 42 servidores, todos potencialmente conteniendo PII de clientes sin cifrar e información de informes de consumidores». Los dispositivos utilizados por Morgan Stanley tenían la capacidad de cifrar los datos almacenados, pero nunca se habilitaron.
Gurbir S. Grewal, director de la División de Cumplimiento de la SEC, dijo que las fallas de Morgan Stanley fueron «asombrosas» y que la compañía «se quedó muy corta» en la protección de la información personal de sus clientes. Morgan Stanley ha dado su consentimiento a la conclusión de la SEC de que «violó las Normas de salvaguardia y disposición en virtud del Reglamento SP», pero lo hizo sin admitir ni negar las conclusiones. La compañía también acordó pagar una multa de $35 millones para resolver los cargos en su contra.
Recomendado por Nuestros Editores
Un portavoz de Morgan Stanley comentó sobre la conclusión de la investigación y los cargos presentados contra la empresa y dijo: «Nos complace resolver este asunto. Hemos notificado previamente a los clientes correspondientes sobre estos asuntos, que ocurrieron hace varios años, y no hemos detectado ninguna acceso no autorizado o uso indebido de la información personal del cliente».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.